GESTION DEL RIESGO GESTION DEL RIESGO OPERATIVOOPERATIVO
“La idea revolucionaria que define la línea divisoria entre los tiempos modernos y el pasado es el manejo del riesgo: la noción de que el futuro es más que un improntus de los dioses y que hombres y mujeres no son pasivos frente a la naturaleza. Hasta que la humanidad descubrió el camino para cruzar esa línea divisoria, el futuro era un espejo del pasado o el oscuro dominio de oráculos o pitonisos que tenían el monopolio del conocimiento de los eventos futuros.”
La ConcienciaLa Conciencia
“Against the Gods: the remarkable story of risk”
Peter Bernstein
Elementos BElementos Báásicos del sicos del RiesgoRiesgo
Concepto de RiesgoConcepto de Riesgo
“La posibilidad de que algo ocurra que impacte determinados objetivos, el cual se mide en términos de consecuencias y esperanza matemática”
“Toda aquella probabilidad que pudiese afectar de forma adversa el logro de los objetivos del negocio”
“La combinación de las probabilidades de ocurrencia de un evento y su consecuencias, haciendo notar que estas pueden ser positivas o negativas, y en algunas circunstancias el riesgo surge de la posibilidad de desviación de la ocurrencia del evento esperado”
4
5
Gestión Tradicional de Riesgo Gestión Tradicional de Riesgo Enfocada en Finanzas (inversiones, flujos de efectivo,
infidelidad) y coberturas de seguros para activos de la empresa (incendio, pérdidas de activos, vida, HCM)
Atomizada en varias unidades funcionales de la empresa (RRHH, Seguridad Física, Tesorería, Administración)
6
El riesgo es entendido y gestionado de formas distintas, dependiendo del estilo de gerencia y de como lo percibe cada unidad de negocio
Evolución de la Administración Evolución de la Administración del Riesgodel Riesgo
Ope
rativ
o
1980’s
Crédito
Gestión de Riesgos
Crediticios
Mediados 1990’s
Crédito
Mercado
Gestión de Riesgos
Financieros
Principios 2000’s
Crédito
Mercado
Estrategia
Negocios
Operación
Administración de Riesgos Integrada
OPERATIVO
Gestión de Riesgos
Operativos
¿Qué es Riesgo Operativo?¿Qué es Riesgo Operativo?
• Concepción tradicional de Riesgo Operacional: “...todo aquello que no era ni riesgo de crédito, ni riesgo de mercado”
Riesgo de Crédito
Riesgo de Mercado
Riesgo Operacional
Otros Riesgos
R. Estratégico R. de Negocio R. Reputacional
PILAR I
Cálculo de Capital PILAR II
Revisión
Supervisora
Definición:Definición:
• Comité de Basilea (Junio de 2004): “el riesgo operacional se define como el riesgo de pérdida resultante:– de una falta de adecuación o – un fallo de los procesos, – el personal y – los sistemas internos o – bien de acontecimientos externos”.
• Esta definición incluye el riesgo legal (jurídico), pero excluye el riesgo estratégico y el riesgo de reputación.
El control del riesgo operacional El control del riesgo operacional es una de las preocupaciones es una de las preocupaciones
principales de la Industria principales de la Industria FinancieraFinanciera
• “Las pérdidas derivadas de los procesos operacionales han sido superiores en cuantía a las más importantes de las provocadas por el riesgo de mercado o de crédito” Senior Federal Reserve Bank Official.
• “24% de los bancos encuestados han experimentado pérdidas por motivos operacionales superiores a 1,5 millones de euros en los últimos 3 años” Encuesta de la Asociación de Bancos Británicos.
¿Qué es el Riesgo de ¿Qué es el Riesgo de Operación?Operación?
Riesgos legales
Riesgos Regulativos
Riesgos tecnológicos
Riesgos externos
Riesgos ambientales
Riesgos estratégicos
Riesgos de seguridad
Riesgos RR.HH
Riesgos de reputación
Riesgos de procesos de
negocios
Riesgos de comunicación
Cualquier cosa que pueda evitar que la
organización cumpla con sus objetivos
Cualquier cosa que pueda evitar que la organización cumpla con sus objetivos.
El riesgo de pérdidas directas o indirectas resultantes de un inadecuado o fallido proceso interno, personal y fallas de sistemas o de eventos externos.
Todos los riesgos, que no son riesgos de crédito o de mercado.
Amplia
Específica
El riesgo de pérdidas originadas por un procesamiento transaccional.
¿Qué es el Riesgo de Operación?¿Qué es el Riesgo de Operación?Tipos de EnfoqueTipos de Enfoque
“El riesgo de pérdida causado por la falla o insuficiencia de los procesos, personas y sistemas internos, o por eventos externos. Esta definición incluye el riesgo legal, pero excluye los riesgos estratégico, de reputación y sistémico”
¿Qué es el Riesgo de Operación?¿Qué es el Riesgo de Operación?
El Comité de Basilea propuso la siguiente definición:
Interno Externo
Eventos
Riesgos asociados
Personas
Procesos
Tecnología
Fuentes
Cambio Complejidad
Brechas de control
Legal
Fuente: Prácticas Adecuadas para la Gestión y Supervisión de los Riesgos de Operación. Comité de Supervisión Bancaria de Basilea, Julio de 2002. BANK FOR INTERNATIONAL SETTLEMENTS
• ¿Qué es Riesgo Legal? (SI)
Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la ejecución de contratos o acuerdos, al incumplimiento no intencional de las normas, así como a factores externos, tales como cambios regulatorios, procesos judiciales, etc.
• ¿Qué es Riesgo Estratégico? (NO)
La posibilidad de pérdidas por decisiones de alto nivel asociadas a la creación de ventajas competitivas sostenibles. Se encuentra relacionado a fallas o debilidades en el análisis del mercado, tendencias e incertidumbre del entorno, competencias claves de la empresa y en el proceso de generación e innovación de valor.
¿Qué tópicos abarca el R.O.P? ¿Qué tópicos abarca el R.O.P?
• ¿Qué es Riesgo Reputacional? (NO)
La posibilidad de pérdidas por la disminución en la confianza en la integridad de la institución que surge cuando el buen nombre de la empresa es afectado. El riesgo de reputación puede presentarse a partir de otros riesgos inherentes en las actividades de una organización.
• ¿Qué es Riesgo Sistémico? (NO)
Aquella reacción en cadena que conduce a que el riesgo de una entidad financiera de incumplir con sus obligaciones cause que otras entidades incumplan con las suyas cual si fuesen piezas de dominó interconectadas. O Alternativamente, shock macro-económico que produce efectos adversos para la mayor parte del sistema financiero.
¿Qué tópicos abarca el R.O.P?: ¿Qué tópicos abarca el R.O.P?:
Tecnología
Procesos internos
Personas
EventosExternos
Continuidad del Negocio
Seguridad de la Información
¿Qué tópicos abarca el R.O.P? ¿Qué tópicos abarca el R.O.P?
1
2
3
4
65
Mejora Continua
PSI
PCN
Responsabilidades legales.
Interrupción del negocio.
Pérdidas financieras.
Costos financieros.
Pérdida de la reputación.
Daño a las personas, y al entorno.
Sanciones regulatorias.
Suspensión del servicio al cliente.
Salir del negocio. NO GESTIONAR ADECUADAMENTE
LOS OTROS RIESGOS.
Costos de no gestionar Riesgos Costos de no gestionar Riesgos de Operación (Impactos posibles)de Operación (Impactos posibles)
NO GESTIONAR ADECUADAMENTE LOS OTROS RIESGOS: MERCADO Y CREDITO
Costos de no gestionar Riesgos Costos de no gestionar Riesgos de Operación (Impactos posibles)de Operación (Impactos posibles)
Riesgo de Crédito
Riesgo de Mercado
Riesgo de Operación
¡Las fronteras no son claras!
CréditoLiquidez
Tasa de Interés
País OPERATIVO
Precio
Legal Reputación
Tipo de Cambio
Costos de no gestionar Riesgos Costos de no gestionar Riesgos de Operación (Impactos posibles)de Operación (Impactos posibles)
NO GESTIONAR ADECUADAMENTE TODOS LOS OTROS RIESGOS
Fraude
Sistemas
Procesamiento de Transacciones
Gestión
Marketing
Contratos Cambio de precios
Reputación
Modelo y Valorización
Terceras Partes
Cartera e Inversiones
Personas
Elementos BElementos Báásicos del Riesgosicos del RiesgoLa amplitud y variabilidadLa amplitud y variabilidad
RIESGO
Fraude Externo
Prácticas de Empleo
Clientes y Productos
Daños a Activos Físicos
Fallos de Sistemas
Ejecucióny Gestión de Procesos
FRAUDE INTERNO
No informar intencionadamente de determinadas posiciones.
Infidelidades de empleados.Uso el de información
privilegiada para enriquecimiento propio.
Tipología de Riesgos Tipología de Riesgos OperacionalesOperacionales
Fraude InternoFraude Interno
Prácticas de EmpleoPrácticas de Empleo
Clientes y ProductosClientes y Productos
Daños a Activos Físicos
Daños a Activos Físicos
Fallos de Sistemas
Fallos de Sistemas
Ejecucióny Gestión de Procesos
Ejecucióny Gestión de Procesos
Fraude ExternoFraude Externo
Robos; Falsificación; Daños de “piratas” informáticos (hackers),
Robos; Falsificación; Daños de “piratas” informáticos (hackers),
Tipología de Riesgos Operacionales
Fraude Externo
Fraude Interno
Clientes y Productos
Daños a Activos Físicos
Fallos de Sistemas
Ejecucióny Gestión de Procesos
Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, de higiene o seguridad en el empleo, del pago de reclamaciones por daños a las personas, o de eventos de diversidad o discriminación.
Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, de higiene o seguridad en el empleo, del pago de reclamaciones por daños a las personas, o de eventos de diversidad o discriminación.
Prácticas de Empleo
Compensaciones a trabajadores por quejas;
Violaciones a las normas de seguridad e higiene en el trabajo;
Tipología de Riesgos Tipología de Riesgos OperacionalesOperacionales
Fraude Externo
Prácticas de Empleo
Fraude Interno
Daños a Activos Físicos
Fallos de Sistemas
Ejecucióny Gestión de Procesos
Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.
Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación profesional frente a clientes concretos (incluidos requisitos fiduciarios y de adecuación), o de la naturaleza o diseño de un producto.
Clientes y Productos
Mal uso de la información confidencial de clientes;
Actividades comerciales inadecuadas en cuentas propias;
Venta de productos no autorizados.
Tipología de Riesgos Tipología de Riesgos OperacionalesOperacionales
Fraude Externo
Prácticas de Empleo
Clientes y Productos
Fraude Interno
Fallos de Sistemas
Ejecucióny Gestión de Procesos
Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos.
Pérdidas derivadas de daños o perjuicios a activos materiales como consecuencia de desastres naturales u otros acontecimientos.
Daños a Activos Físicos
Terrorismo, vandalismo, terremotos, fuegos e inundaciones.
Tipología de Riesgos Tipología de Riesgos OperacionalesOperacionales
Fraude Externo
Prácticas de Empleo
Clientes y Productos
Daños a Activos Físicos
Fraude Interno
Ejecucióny Gestión de Procesos
Pérdidas derivadas de incidencias en el negocio y de fallos en los sistemas.
Pérdidas derivadas de incidencias en el negocio y de fallos en los sistemas.
Fallos de Sistemas
Caídas del software;
Problemas de telecomunicaciones (Internet);
Apagones públicos
Tipología de Riesgos Tipología de Riesgos OperacionalesOperacionales
Fraude Externo
Prácticas de Empleo
Clientes y Productos
Daños a Activos Físicos
Fallos de Sistemas
Fraude Externo
Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores.
Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores.
Ejecución y Gestión de Procesos
Errónea entradas de datos;
Documentación legal incompleta;
Accesos no aprobados a las cuentas de clientes;
Rupturas de contratos y disputas con proveedores y daños colaterales.
Tipología de Riesgos Tipología de Riesgos OperacionalesOperacionales
TALLERTALLER
PASOS PARA LA ADMINISTRACION PASOS PARA LA ADMINISTRACION
DEL RIESGO OPERATIVODEL RIESGO OPERATIVO• Para la administración de riesgos operativos en la
empresa, se han establecido cinco (5) pasos principales, a fin de ofrecer mejor detalle de cada uno de los procesos de administración del riesgo operativo que serán implantados gradualmente en la empresa:
• Paso 1: Identificación de los riesgos operativos• Paso 2: Análisis y valoración de los riesgos operativos• Paso 3: Estrategias de gestión de los riesgos
operativos• Paso 4: Información y comunicación de los riesgos
operativos• Paso 5: Monitoreo de los riesgos operativos
Determinar los riesgos operativos a los cuales
se encuentra expuesta la organización,
considerando tanto factores internos como
externos, que puedan afectar adversamente la
implantación de estrategias y el logro de
objetivos del negocio.
31
Objetivo:
FASE I:FASE I: Identificación de los Riesgos Identificación de los Riesgos
Operativos Operativos
32
Insumos
- Información referente a la cadena de valor (ver detalle en sub-fase 1.1)
- Planificación del proceso de identificación de los riesgos operativos en la cadena de valor- Construcción del inventario de los riesgos operativos- Categorización de los riesgos operativos- Determinación del riesgo legal y reputacional como consecuencia de un riesgo operacional
--
PASO I:PASO I: Identificación de los Identificación de los riesgos operativosriesgos operativos
Sub-Fases
Productos Entregables
-Plan de identificación de los riesgos operativos-Inventario de riesgos operativos-Inventario de riesgos operativos categorizados-Inventario de riesgos operativos con riesgo legal y reputacional
A continuación se presenta un resumen de lo concerniente a esta A continuación se presenta un resumen de lo concerniente a esta fase : fase :
• Consiste en la obtención de información y análisis preliminar de los riesgos operativos que podrían impactar la cadena de valor seleccionada, con la finalidad de elaborar junto con las unidades de negocio y apoyo un “Plan de Identificación de los Riesgos Operativos” que sirva de orientación para la construcción de un “Inventario de Riesgos Operativos”.
• Esta sub-fase debe ser realizada por la unidad de control de
riesgos para obtener el “Plan de Identificación de los Riesgos Operativos”, que incluye la recolección de información, el catálogo teórico de riesgos operativos, selección de la técnica de identificación de riesgos operativos y de las áreas y personas clave que intervendrán en el trabajo.
33
Planificación del proceso de Planificación del proceso de identificación de los riesgos en la identificación de los riesgos en la
cadena de valor cadena de valor
34
Recolección de información Recolección de información
Objetivos y metas del negocioLeyes, normas y regulaciones en general.Políticas y procedimientos.Mapa de procesos / Áreas involucradasHallazgos de auditoria interna, si existen Informes de auditoria externa, si existenDatos históricos de pérdidas operativas, si existenData externa de pérdidas y/o tendencias del sector
en que opera la empresa.Auto-evaluaciones de riesgo y controles, si existen. Información sobre futuros cambios, si existe
Se debe obtener la siguiente información en el marco de la cadena de valor, canalizada mediante la Dirección o Gerencia responsable:
Consiste en examinar los procesos con el mejor entendimiento de las interrelaciones de sus componentes, entradas, actividades, salidas y responsabilidades, para facilitar la identificación de los posibles riesgos operativos en cada uno de los procesos. Para ello, se construye un listado de procesos de la cadena de valor evaluada.
35
Análisis de flujos de procesos Análisis de flujos de procesos
Una vez recolectada la información y analizado el flujo de procesos, se procederá a generar el “Catálogo Teórico de Riesgos Operativos”, en el cual se deberán señalar todos los riesgos operativos de forma teórica, los procesos y las áreas directas de apoyo, lo que servirá de guía a las unidades de negocio y apoyo para identificar los riesgos operativos que realmente se presentan en la cadena de valor y obtener con mayor detalle el inventario de todos los riesgos
36
Construcción del catalogo teórico Construcción del catalogo teórico de los riesgos operativos en la de los riesgos operativos en la
cadena de valor cadena de valor
37
Un apropiado análisis de los riesgos operativos involucra el uso de técnicas acertadas de identificación de riesgos, para obtener la mayor información posible sobre la cadena de valor. La técnica de identificación debe estar estructurada para obtener información comparable de múltiples fuentes.
Determinación de la técnica de Determinación de la técnica de identificación de los riesgos identificación de los riesgos
operativosoperativos
Realizar una sesión de inducción sobre la Metodología de Gestión Riesgo Operacional (MGRO), a fin de preparar a los participantes y garantizar el acceso a la información.
Los participantes deben ser personas que conozcan el proceso que se está analizando y que tengan capacidad y disponibilidad de cumplir con todas las fases de la metodología y presentar su punto de vista frente a los demás miembros del taller
Las sesiones deben ser conducidas de manera que incentiven la participación activa de todos los integrantes del grupo.
Cada sesión debe indicar la agenda y los pasos a seguir para que sirvan de guía en el desarrollo efectivo del taller de trabajo (workshop).
Los resultados obtenidos en la identificación de riesgos deben analizarse y expresarse de forma que recoja una percepción consensual de los riesgos operativos.
Facilitar la retroalimentación permanente de los análisis y conclusiones, a los fines de incorporar posibles cambios que surjan en los talleres.
Las técnicas de identificación de riesgos son:
38
Ejemplo de los lineamientos que debe contener un taller de trabajo(workshop), incluyendo una agenda recomendada :
RESUMEN: RESUMEN:
Lineamientos para un taller de trabajo
(workshop)
Agenda recomendada
Agenda sugerida para una apropiada sesión
de entrevista
39
2
8
1
5
14
96
3
7
11
4
10
12
4
15
A los fines de realizar una selección de las personas clave,
es recomendable indagar sobre las preguntas siguientes:
Selección de personas clave para Selección de personas clave para la identificación de riesgola identificación de riesgo
16
17
1921
18
2022
23
24
25
26
27
13¿Qué posiciones ocupan dentro de la organización y cuáles son sus responsabilidades? ¿Cuáles son sus niveles de
conocimiento de la cadena de valor?
¿Cuáles son sus contribuciones para lograr la identificación de los riesgos?
¿Quiénes son las personas competentes para identificar los riesgos operativos?
40
A efectos de lograr una adecuada identificación de los riesgos operativos, es importante considerar lo siguiente:
Construcción del inventario de los Construcción del inventario de los riesgos operativos en la cadena de riesgos operativos en la cadena de
valorvalor
En caso de no contar con la documentación de los procesos de la cadena de valor, bajo el enfoque de modelos extendidos de negocio, se sugiere realizar una diagramación de los principales flujos de procesos asociados a la cadena de valor y efectuar la identificación de los riesgos operativos con narrativas descriptivas, en donde el funcionario principal del proceso describe las actividades / pasos que ejecuta y el especialista de la unidad de control de riesgos facilitará la identificación de los riesgos. Se recomienda que los participantes se a abstraigan de los controles existentes, a fin de que puedan visualizar los riesgos inherentes a la cadena de valor, ya que en caso de fallar el control se materializaría el riesgo.
A fin de facilitar una guía para la identificación de los riesgos operativos, se podría utilizar el “Catálogo Teórico de Riesgos Operativos”, que ha sido elaborado en el paso 1.1.2
41
Categorización de los riesgos Categorización de los riesgos operativosoperativos
Categoría de Riesgos Operativos (RO) / Nivel I: Naturaleza u origen de los riesgos:
Personas: posibles pérdidas generadas por fallas en el recurso humano
Procesos: Posibles pérdidas por ausencias o deficiencias en los procedimientos que originan debilidades en la ejecución
Sistemas :Posibles pérdidas generadas por fallas en los sistemas o tecnologías.
Eventos Externos: Posibles pérdidas por cambios adversos en el entorno de la organización, generados por fuerzas de la naturaleza o por terceros.
Consiste en clasificar los riesgos operativos listados en el
“Inventario de Riesgos Operativos” según las siguientes categorías / niveles:
42
Riesgosoperacionales
Personas
Procesos
Sistemas
Externos
• Fraude interno (actos internos)
• Prácticas de empleo y seguridad laboral
• Ejecución, entrega y gestión de procesos
• Clientes, productos y prácticas comerciales
• Interrupción de operaciones o fallos de sistemas
• Daños o pérdidas de activos físicos
• Fraude externo
Riesgosoperacionales
Personas
Procesos
Sistemas
Externos
• Fraude interno (actos internos)
• Prácticas de empleo y seguridad laboral
• Ejecución, entrega y gestión de procesos
• Clientes, productos y prácticas comerciales
• Interrupción de operaciones o fallos de sistemas
• Daños o pérdidas de activos físicos
• Fraude externo
Categoría de RO / Nivel II: El Categoría de RO / Nivel II: El origen potencial de las pérdidas origen potencial de las pérdidas de acuerdo a lo establecido por de acuerdo a lo establecido por
Basilea II:Basilea II:
44
Ejemplo
Factores / Categorías
Eventos Riesgo / Oportunidad
Tecnología• Nueva tecnología disponible para la
línea de producción• Sistema de información obsoleto
• Oportunidad
Clientes• Cambio en el patrón de consumo• Deterioro del poder adquisitivo del
mercado
Proceso productivo
• Determinación de baja calidad de los productos
• Aumento del número de accidentes• Adquisición de un nuevo software de
control
Capital Humano• Huelga del personal• Cambio en la productividad del
personal
• Riesgo• Ambos• Riesgo
• Riesgo
• Riesgo• Oportunidad
• Riesgo• Ambos
45
InversiónLiquidez
Entorno
Logística
Producción
Fin
anciero
Tecnología
Info
rmació
n
Clientes
Competencia
Pro
veed
or
RRHH
Riesgo
1. Multas por violaciones ambientales y sanitarias
2. Deterioro de Imagen3. Daño en el ambiente
4. Pérdida de mercado por precios bajos
5. Litigios clientes por incumplimientos
6. Lenta respuesta a necesidades de clientes
7. Alta concentración - venta en pocos clientes
8. Insatisfacción de clientes no percibida
9. Plan de contingencia10. Calidad de servicio11. Integridad de la
información
12. Alta dependencia13. Proveedores no confiables
14. Riesgo cambiario15. Alta inflación
16. Proceso Productivo ineficiente17. Plan de producción ineficiente18. Alto costo laboral
19. Obsolescencia de inventario
20. Alto costo materia prima21. Alto inventario de
repuestos
22. Contrataciones colectivas
23. Huelgas que afecten la producción
24. Fraudes – Ética25. Actos y conductas
ilegales
FASE I: EvaluaciónFASE I: Evaluación Ejemplo
26. Flujo de caja irreal27. Costo oportunidad28. Bajo retorno inversión
46
Riesgo legal: Pérdidas por incumplimientos de leyes, normas, reglamentos, prácticas
prescritas o normas de ética.
Riesgo reputacional: El Riesgo Reputacional surge cuando la forma de conducir el
negocio no satisface las expectativas de los grupos de interés
Determinación del riesgo legal y Determinación del riesgo legal y reputacional como consecuencia reputacional como consecuencia
de un riesgo operacionalde un riesgo operacionalA continuación se presentan las definiciones de Riesgo Legal y Riesgo Reputacional:
TALLETALLERR
Realizar un análisis y valoración de los riesgos operativos, que permita comprender el perfil de riesgo y dirigir de manera más efectiva los recursos para la gestión de los riesgos identificados. A tal efecto, se tomarán como insumo los inventarios de riesgos operativos obtenidos durante la Fase 1 de identificación de riesgos, para analizar y valorar los riesgos inherente, residual y reputacional y determinar aquellos riesgos operativos que requieran una auto-evaluación de los controles de forma prioritaria.
49
Objetivo:
Paso 2:Paso 2: Análisis y valoración de Análisis y valoración de los riesgos operativoslos riesgos operativos
50
Técnicas cualitativas
Técnicas cuantitativas
Mientras algunas mediciones cualitativas son definidas en términos subjetivos y otras en más de un término objetivo, la calidad de la evaluación depende en gran parte del conocimiento y juicio de los individuos involucrados y que además entiendan los eventos potenciales y el entorno que les rodea.
Las técnicas cuantitativas pueden ser usadas
cuando existe suficiente información
estadística o numérica para estimar la
frecuencia de ocurrencia o el impacto del
riesgo, usando escalas de intervalos o de
razón. Adicionalmente, son comúnmente
utilizadas para el análisis de riesgos en
procesos o áreas específicas de una
organización.
L1
L2
51
Escala ordinalTipos
generales de medida
Escala nominal
Escala de intervalos
Escala de razón
Para propósitos de ilustración, se Para propósitos de ilustración, se puede indicar que existen cuatro puede indicar que existen cuatro
tipos generales de medidas:tipos generales de medidas:
52
Insumos . -Inventario de riesgos operativos -Inventario de riesgos operativos categorizadosI -identificación del riesgo legal y reputacional como consecuencia del
riesgo operacional
- Análisis y valoración del riesgo inherente- Análisis y valoración del riesgo residual- Análisis y valoración del riesgo reputacional
--
A continuación se presenta un resumen de esta fase, que abarca insumos, sub-fases, productos entregables y referencias.
RESUMEN:RESUMEN:
Sub-Fases
Productos Entregables
-Mapa de riesgo inherente-Mapa de riesgo residual-Matriz del impacto del riesgo reputacional
53
A continuación se presentan gráficamente las tres (3) sub-fases que forman parte de la evaluación de los riesgos operativos:
Sub- fases del análisis y valoración de los riesgos
operativos
2.1 Análisis y valoración del riesgo inherente
2.2 Análisis y valoración del riesgo residual
2.3 Análisis y valoración del riesgo reputacional
En esta sub-fase se determinarán el nivel de impacto por evento y la frecuencia de ocurrencia de cada riesgo operacional. Para esta actividad, se tomará como base los inventarios de riesgos operativos elaborados en la Fase 1. Finalmente, se obtendrá el impacto anualizado o riesgo inherente, como resultado de multiplicar el impacto por cada evento y la frecuencia de ocurrencia de este evento en un año. Para la determinación del impacto y la frecuencia de ocurrencia, se utilizarán los intervalos de escalas definidos en los pasos.
54
Análisis Análisis y valoración del riesgo y valoración del riesgo inherenteinherente
En este paso se persigue determinar el impacto que
podría tener un evento, por cada riesgo operacional
identificado, sobre el patrimonio de la empresa. Para
ello, se utilizará una escala valorativa. De esta manera,
se obtiene el impacto de un evento al año para cada
riesgo operacional identificado.
55
Determinación del impacto del Determinación del impacto del riesgo inherenteriesgo inherente
• Cuando se cuente con una base de datos histórica de pérdidas, se podrán utilizar fórmulas estadísticas para el cálculo de intervalos, tal como la de Sturges que se ilustra a continuación:
• [k = 1 + 3.3222 log10 (n)]• Donde k: es el número de intervalos y n: es el número de datos. Los intervalos de la escala
pueden ser uniformes o no, es decir que no necesariamente todos los intervalos mantendrán la misma amplitud o longitud. Por ejemplo:
• – Si se cuenta con una base de datos histórica de pérdidas, se podrá calcular la longitud de
clase uniforme, utilizando la fórmula siguiente:• • l = Dato mayor – Dato menor• K• Donde l: es la longitud que deben tener los intervalos y K: es el número de intervalos.
56
Cuando se cuente con una base de datos Cuando se cuente con una base de datos histórica de pérdidas, se podrán utilizar histórica de pérdidas, se podrán utilizar fórmulas estadísticas para el cálculo de fórmulas estadísticas para el cálculo de intervalos, tal como la de Sturges que se intervalos, tal como la de Sturges que se ilustra a continuación:ilustra a continuación:
• Base de la escala = 100 US$. • • Luego, para hallar los límites superiores de los diferentes grados de la
escala, se procede a utilizar la siguiente fórmula:• • Lim superior (n)= Base X 10n-1; n ≥ 1• • Por ejemplo, para calcular el límite superior del grado de escala 1 y 2, se
procede de la siguiente manera:• • Lim superior (1) = 100 X 10(1-1) = 100• Lim superior (2) = 100 X 10(2-1) = 1.000• • Y así, sucesivamente.
57
A continuación se presenta la A continuación se presenta la escala que puede ser utilizada escala que puede ser utilizada
para valorar el impacto para valorar el impacto patrimonial de los riesgos:patrimonial de los riesgos:
58
Código Color
Indicador
Gradode Escala
Orden de Magnituden US$
Descripción
Bajo
1 0 – 100El riesgo afecta poco al patrimonio de la Empresa.2 101 - 1.000
Medio
3 1.001 - 10.000El riesgo afecta significativamente al patrimonio de la Empresa.
4 10.001 - 100.000
5100.001 - 1.000.000
Alto
61.000.001 - 10.000.000 El riesgo afecta seriamente
al patrimonio de la Empresa .7 ≥ 190,000.
A continuación, se muestra la tabla A continuación, se muestra la tabla con los valores que corresponden a con los valores que corresponden a
esta escala:esta escala:
59
Determinación de la frecuencia de Determinación de la frecuencia de ocurrencia anualizada del riesgo ocurrencia anualizada del riesgo
inherenteinherente
El número de veces que un evento se repite en el año, se puede expresar como se muestra en la siguiente tabla:
Color Código ColorGrado de Escala
DescripciónOcurrencia Annual
Bajo
1 1 al año 12 2 al año 23 1 al trimester 44 1 al mes 12
Medio
5 2 al mes 246 1 por semana 527 2 por semana 1048 1 al día 365
Alto
9 2 - 5 al día 1,27810 6 - 20 al día 4,74511 21 - 40 al día 11,13312 ≥41 al día 14,965
60
Determinación del riesgo Determinación del riesgo inherenteinherente
Una vez determinado el impacto unitario y la frecuencia de ocurrencia de cada riesgo operacional, se elaborará una “Matriz de Análisis y Valoración del Riesgo Inherente”, en la cual se consoliden el impacto unitario y la frecuencia de ocurrencia de los riesgos. En otras palabras, se procederá a multiplicar el impacto determinado de cada riesgo por la frecuencia de ocurrencia de cada uno de esos riesgos, a fin de obtener el riesgo inherente; este último monto se debe ubicar en la escala de impacto del riesgo patrimonial, para determinar que grado le corresponde.
61
Elaboración del mapa de riesgo Elaboración del mapa de riesgo inherenteinherente
A fin de tener una visión global de los riesgos, a los cuales está expuesto el Empresa, se elabora el mapa de riesgo inherente, el cual podrá ser mediante curvas o cuadrantes.
Imp
acto
Pat
rim
on
ial
Frecuencia de ocurrencia
62
Elaboración del mapa de riesgo Elaboración del mapa de riesgo inherenteinherente
A fin de tener una visión global de los riesgos, a los cuales está expuesto el Empresa, se elabora el mapa de riesgo inherente, el cual podrá ser mediante curvas o cuadrantes.
7
Más de 10 000 000
6
1 000 001 - 10 000 000
5
100 001 - 1 000 000
4
10001 - 100000
3
1001 - 10000
2
101 - 1000
1
0 - 100
1 2 4 12 24 52 104 365 1 278 4 745 11 133 14 965
1 2 3 4 5 6 7 8 9 10 11 12
Ocurrencia Anual (Veces)
Fre
cu
en
cia
($
)
Figura Nº 4.2 Mapa de riesgos operativos
En esta sub-fase se identificarán los controles de los riesgos inherentes, que mitiguen la frecuencia, el impacto o ambos, para determinar el riesgo residual.
De esta manera, se obtendrá la “Matriz de Análisis y
Valoración del Riesgo Residual”
63
Análisis y valoración del Análisis y valoración del riesgo residualriesgo residual
64
Un control interno se define como el proceso efectuado por la Junta Directiva, la Gerencia y el resto del personal de una organización, diseñado para proveer una seguridad razonable. El control interno no debe ser acontecimientos, mecanismos o decretos aislados de la gerencia. Son mucho más efectivos cuando se crean en los procesos de negocios. El control interno se refiere a la gente, por lo cual todas las personas en sus diferentes niveles de cargo deben estar conscientes de la evaluación y los controles de los riesgos, a fin de responder de manera apropiada. No se puede esperar que los controles internos eviten todos los problemas, aborden todos los
asuntos o permitan la suficiencia organizacional.
Identificación y evaluación Identificación y evaluación funcional de los controles funcional de los controles asociados a la cadena de asociados a la cadena de
valorvalor
65
¿Quién ejecuta el control ? (una persona / sistema de información)
¿Qué tarea pone en acción el control? (aprobación, comparación, reconciliación)
¿Cuándo? (frecuencia de ejecución del control: tiempo real, lotes, diario, semanal)
¿Dónde? (punto de la transacción donde se ejecuta el control)
¿Cómo se realiza el control y su evidencia?
El personal de las unidades de El personal de las unidades de negocios y apoyo, deberá identificar negocios y apoyo, deberá identificar los controles, que mitigan los riesgos los controles, que mitigan los riesgos
operativos, tomando en cuenta lo operativos, tomando en cuenta lo siguiente:siguiente:
66
Efectividad Descripción Ponderación
Control efectivoEl control identificado reduce los niveles inherentes de impacto, frecuencia de ocurrencia o ambos en un 75%
0,25(un control no elimina el riesgo)
Control medioEl control identificado reduce los niveles inherentes de impacto, frecuencia de ocurrencia o ambos en un 50%
0,50
Sin control o control inefectivo
No se identificaron controles, por lo que los niveles inherentes de impacto y frecuencia de ocurrencia quedan iguales.El control es inefectivo
1
Escala cualitativa para valorar Escala cualitativa para valorar la efectividad de los controles la efectividad de los controles
implantadosimplantados
En este paso se determinará el impacto de cada riesgo operacional identificado, considerando los controles que la gerencia ha identificado para mitigar ese riesgo.
En este sentido, se procederá a calcular, para cada riesgo operacional identificado, el impacto unitario residual mediante la siguiente fórmula:Impacto Unitario Residual = (Impacto Unitario Inherente) * (Efectividad del Control)
67
Determinación del impacto Determinación del impacto unitario del riesgo residualunitario del riesgo residual
En este paso, se revaluará la frecuencia anual de cada riesgo operacional identificado, considerando los controles identificados que mitigan ese
Para obtener la frecuencia anualizada residual, se utilizan los resultados obtenidos al valorar la efectividad de los controles implantados. Se procederá a calcular, para cada riesgo operacional identificado, la frecuencia anualizada residual mediante la siguiente fórmula:
Frecuencia Anualizada Residual = (Frecuencia Anualizada Inherente) *
(Efectividad del control)
68
Determinación de la frecuencia Determinación de la frecuencia de ocurrencia anualizada del de ocurrencia anualizada del
riesgo residualriesgo residual
69
Una vez calculada el impacto y la frecuencia anualizada inherente, se procede a calcular el riesgo residual. Para esto se toma el total del riesgo inherente multiplicado por la efectividad del control. Para cada uno de los riesgos es importante determinar cuál de las dos dimensiones está disminuyendo el riesgo, (ya sea el impacto, la probabilidad o ambos). Una vez que se ha calculado la dimensión que afecta la efectividad del control, se procede a ubicar el resultado en la escala del mapa.
Determinación del riesgo Determinación del riesgo residualresidual
70
Ejemplo del cálculo del Riesgo Ejemplo del cálculo del Riesgo Residual:Residual: Ejem
ploSi el impacto de un riesgo inherente es $50 000 y su frecuencia de ocurrencia es 12 veces en un año, el total del riesgo inherente es: $600 000. Si se determinó que el grado de efectividad del control es medianamente efectivo, el riesgo residual es el resultado de multiplicar $600 000 X 0.5, lo que da un riesgo residual de $300 000.
71
Elaboración del mapa de riesgo Elaboración del mapa de riesgo residualresidual
Como producto de este paso se obtendrá el “Mapa de Riesgo Residual. En este sentido, se elabora el “Mapa de Riesgo Residual”, de la misma forma como se construyó el “Mapa de Riesgo Inherente”, pero utilizando los valores de frecuencia anualizada residual e impacto anualizado residual.
72
Análisis y valoración del riesgo Análisis y valoración del riesgo reputacionalreputacional
Los riesgos operativos identificados que puedan desencadenar riesgos reputacionales. En este sentido, se podrá utilizar la escala definida en la Tabla N° 8, donde se establecen valores cualitativos. Ello permitirá centrar los esfuerzos en aquellos riesgos operativos que, a su vez, tengan implícito un riesgo reputacional, como elemento de decisión, dentro de un grupo de riesgos.
73
Daños de Imagen (Valor Cualitativo)
Código Color
IndicadorGrado de la Escala
Descripción
Débil 1
El evento atrajo la atención de personas externas aunque limitado a un pequeño círculo (determinados clientes, autoridades locales, entre otros).
El evento es conocido sólo al ámbito de la institución.
Medio 2
El evento atrajo la atención de un amplio rango de personas (reguladores).
El nombre de la Empresa es citado públicamente.
Fuerte 3
Pérdida de reputación colocando en peligro la continuidad del negocio.
Múltiples citaciones en los medios de comunicación. la Empresa es cuestionado con respecto a como ha
coordinado la situación y más aún sus valores y sus prácticas. Investigaciones externas.
Escalas para medir el nivel de Escalas para medir el nivel de riesgo reputacionalriesgo reputacional
El objetivo de esta fase es determinar las acciones que se emprenderán para reducir y/o mantener el riesgo dentro de los niveles aceptables para la organización
75
Objetivo:
Fase 3: Determinación de las Fase 3: Determinación de las estrategias de gestión de los estrategias de gestión de los
riesgos operativos riesgos operativos
76
Riesgos a los que se Riesgos a los que se encuentran expuesta la encuentran expuesta la
organizaciónorganización
Zona aceptación de riesgos
Riesgo Inherente
Zona de riesgos que requieren acción
12
34
5
Riesgo Residual
1 2 3 4 5 6 7 8 9 10 11 12
Impacto
Más de 10 000 000
1 000 001 - 10 000 000
100 001 - 1 000 000
10001 - 100000
1001 - 10000
101 - 1000
0 - 100
1 2 4 12 24 52 104 365 1 278 4 745 11 133 14 965
Zona Aceptación de Riesgos Frecuencia de ocurrencia
77
Insumos
-Mapa de riesgo inherente-Mapa de riesgo residual-Matriz de evaluación
-Definición de las estrategias de gestión de los riesgos operativos-Priorización de los riesgos operativos-Evaluación de las estrategias de los riesgos operativos-Selección de la estrategia de gestión del riesgo-Integración de las actividades de control con la estrategia de gestión de riesgo-Determinación de la prioridad y responsable de implantación
--
A continuación se presenta un resumen d de lo concerniente a esta fase :
RESUMEN:RESUMEN:
Sub-Fases
Productos Entregables
Plan de implantación
78
Definición de las estrategias de gestión de los riesgos operativos
Priorización de los riesgos operativos
Evaluación de las estrategias de gestión de los riesgos operativos
Selección de la estrategia de gestión del riesgo
Selección de la estrategia de gestión del riesgo
Determinación de la prioridad y responsables de implantación
A continuación se presentan gráficamente las seis (6) sub-fases que forman parte de la determinación de las estratega las de gestión de los riesgos operativos:
Sub-fases Sub-fases de la determinación de las de la determinación de las estrategias de gestión de los riesgos estrategias de gestión de los riesgos
operativosoperativos
En esta sub-fase, el área operativa y riesgo
operativos, definirán las estrategias de gestión que
seleccionarán para cada riesgo, las cuales deberán
estar sujetas al apetito de riesgo y al nivel de
tolerancia al riesgo establecidos por la institución. Esto
se terminará de definir y ajustar, con el apoyo brindado
por la Gerencia de las unidades de negocio.
79
Definición de las estrategias Definición de las estrategias de gestión de los riesgos de gestión de los riesgos
operativosoperativos
80
Opciones para gestionar el riesgo Opciones para gestionar el riesgo operacionaloperacional
81
En esta sub-fase se establecerá la prioridad de los riesgos
operativos residuales, calculados en la Fase 2, sobre los
cuales la Gerencia focalizará las estrategias de gestión.
Para ello, se ordenan los riesgos operativos según su nivel
de criticidad y se seleccionan aquellos riesgos que
requieren de una acción inmediata.
Priorización de los riesgos Priorización de los riesgos operativosoperativos
82
Riesgo 1
Riesgo 2
Riesgo 3
Zona de aceptación de riesgos
Riesgos que requieren de un plan de acción específico
Zona de riesgos que requieren acciones
1
Riesgo 4
Impacto
121 2 3
Riesgo 1
Riesgo 2
Riesgo 3
1
2
3
4
5
Riesgo 4
Impacto
76 8 9 10 111 2 4 5
Zonas de tratamiento y Zonas de tratamiento y aceptación de los riesgosaceptación de los riesgos
En esta sub-fase, la Gerencia de las unidades de negocio y apoyo evaluarán la
viabilidad de las estrategias de gestión determinadas anteriormente. Dicha
viabilidad se determinará en términos del efecto de la estrategia de gestión sobre
el impacto y la frecuencia de ocurrencia del riesgo, del análisis del costo-beneficio
y de la identificación de posibles oportunidades. El objetivo fundamental es
evaluar cuan efectiva es la estrategia de gestión para reducir el riesgo residual.
83
Evaluación de las estrategias Evaluación de las estrategias de gestión de los riesgos de gestión de los riesgos operativosoperativos
84
Evaluación del efecto de la Evaluación del efecto de la estrategia de gestión del riesgo estrategia de gestión del riesgo sobre el impacto y la frecuencia sobre el impacto y la frecuencia
de ocurrenciade ocurrencia
Una de las opciones para evaluar las estrategias de gestión de los riesgos operativos es determinar su efecto sobre el impacto, sobre la probabilidad de ocurrencia o sobre ambos. Por ejemplo, una institución podría movilizar sus servidores principales desde una región geográfica de alta peligrosidad por fenómenos naturales devastadores hacia otra de mayor estabilidad, pero ello no disminuirá el impacto, aunque si la probabilidad de ocurrencia.
El análisis de costo-beneficio permite establecer la factibilidad financiera de las estrategias de gestión del riesgo operacional determinadas. Su objetivo fundamental es proporcionar una medida de los costos en que se podría incurrir, y, a su vez, comparar dichos costos previstos con los beneficios esperados.
85
Métodos de análisis de Métodos de análisis de costo-beneficiocosto-beneficio
86
Análisis costo-beneficioAnálisis costo-beneficio
Costo de reducir de Riesgo
Valo
ració
nannual d
el R
iesg
o
Ba
joM
ed
ioA
lto
Bajo Medio Alto
Análisis Costo-Beneficio
Implantaciónde las Estrategias deGestión de Riesgo
Priorización de los Riesgos Operativospara la Implantación
No económico
Costo de reducir de Riesgo
Valo
ració
nannual d
el R
iesg
o
Ba
joM
ed
ioA
lto
Bajo Medio Alto
Análisis Costo-Beneficio
Implantaciónde las Estrategias deGestión de Riesgo
Priorización de los Riesgos Operativospara la Implantación
No económico
87
Identificación de posibles Identificación de posibles
oportunidadesoportunidades
Cuando se evalúan las estrategias de gestión de riesgos, también se podrían identificar nuevas oportunidades para la organización. Para la Gerencia de las unidades de negocio y apoyo, la evaluación de estrategias de gestión de riesgos podría ser innovadora y podrían surgir algunas oportunidades. De esta manera, al momento de seleccionar la estrategia de gestión, la Gerencia podría inclinarse por la estrategia en la cual identificó alguna nueva oportunidad de negocio o mejora.
Selección de la estrategia Selección de la estrategia de gestión del riesgode gestión del riesgo
88
En esta sub-fase, se deberá elegir la estrategia de gestión, para cada riesgo
operacional, de forma que se ubiquen los riesgos dentro de los límites de tolerancia
establecidos por la organización.
Integración de las actividades Integración de las actividades de control con la estrategia de de control con la estrategia de
gestión del riesgogestión del riesgo
89
En esta sub-fase, se deben definir las actividades de control a ser implantadas acordes con la estrategia de gestión de riesgo.En la selección de las actividades de control, la Gerencia deberá considerar como se pueden integrar a una o varias estrategias de gestión de riesgo.
90
Correctivos
Así mismo, se deben Así mismo, se deben determinar los tipos de determinar los tipos de controles a implantar:controles a implantar:
Preventivos
Detectivos
91
En esta sub-fase, se deberá establecer la prioridad y los responsables de implantación de la estrategia de gestión de riesgo. El plan de prioridades de implantación debe contemplar los siguientes aspectos:
- Indicar las acciones estratégicas para gestionar el riesgo operacional con la asignación de la unidad organizativa o persona responsable. -Establecer el período de tiempo requerido para la implantación de los planes de acción. El período de tiempo requerido de implantación definido por el Empresa, consta de los plazos siguientes:
Corto plazo: 0 a 6 meses.Mediano plazo: 6 a 12 meses.Largo plazo: Mayor a 12 meses.
Determinación de la prioridad y Determinación de la prioridad y responsables de implantación de la responsables de implantación de la
estrategia de gestión del riesgoestrategia de gestión del riesgo
Desarrollar una estructura y proceso de información y comunicación del estado de
gestión de los riesgos operativos, que permita a la Gerencia de las unidades de
negocio y apoyo comunicar el estatus de los riesgos operativos. En este sentido, la
información debe identificarse, captarse y comunicarse de una forma y en un marco
de tiempo que permiten a las personas llevar a cabo sus responsabilidades.
Asimismo, la organización debe contar con los medios para comunicar la
información significativa desde los niveles operativos hasta la alta gerencia, los
comités y la Junta Directiva. También debe haber una comunicación eficaz con
terceros, como es el caso de clientes, proveedores y accionistas.
93
Objetivo:
Fase 4:Fase 4: Información y Información y comunicación de la gestión de los comunicación de la gestión de los riesgos operativosriesgos operativos
94
Comentario de los principales eventos / incidentes de riesgo
Principales eventos / incidentes de riesgo Áreas donde los riesgos cambian adversamente. Avances de las acciones en riesgos potenciales
• Alta Gerencia• Alta Gerencia
• Línea gerencial• Línea gerencial
• Personal operativo• Personal operativo
Resultados de los indicadores clave de desempeño (Ley Performance Indicator / KPI)
Resultados de los indicadores clave de riesgo (Key Risk Indicator / KRI)
Comentarios de los principales eventos / incidentes de riesgo
Áreas donde los riesgos cambian adversamente
Nueva exposición al riesgo Avance de las acciones en riesgos
potenciales
Reporte Externo
Rep
orte
inte
rno
Divulgación de los riesgos y prácticas para gerenciar los riesgos a los entes relacionados
Proceso de Información y Comunicación de la Gestión de los Riesgos Operativos
Junta
Directiva
/ Comité
de Riesgo
Perfil de riesgo operacional Acciones para mitigar riesgos Efectividad y avance de las acciones aplicadas Estado del marco de gestión de riesgos
operativos Principales eventos / incidentes de riesgo
Ejemplo del proceso de información y Ejemplo del proceso de información y comunicación sobre la gestión de los comunicación sobre la gestión de los
riesgos operativosriesgos operativos
95
Insumos
-Definición de las directrices para informar el estado de la gestión de los riesgos operativos . -Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos
A continuación se presenta un resumen de lo concerniente a esta fase :
RESUMEN:RESUMEN:
Sub-Fases
Productos Entregables
-Plan de implantación
-Proceso de información y comunicación del estado de gestión los riesgos operativos.
96
Sub-fases de la información y Sub-fases de la información y comunicación del estado de comunicación del estado de
gestión de los riesgos operativosgestión de los riesgos operativos
Definición de las directrices para informar el estado de la gestión de los riesgos
Establecimiento del proceso de información y comunicación del estado de la gestión de los riesgos.
97
Definición de las directrices para Definición de las directrices para reportar el estado de la gestión reportar el estado de la gestión
de los riesgosde los riesgos
En esta sub-fase, se describen los lineamientos que deben ser considerados al comunicar la gestión de los riesgos operativos, a fin de que la información pueda fluir de manera precisa y oportuna.
Establecimiento del proceso de Establecimiento del proceso de información y información y
comunicación del estado de la gestión comunicación del estado de la gestión de los riesgosde los riesgos
98
En esta sub-fase, se establece el proceso que se debe seguir a fin de comunicar la situación o avance de la
gestión de los riesgos operativos, de manera efectiva, para lo cual se requiere definir la estructura de
información y comunicación, el alcance, la frecuencia de la información y los canales de comunicación a ser
utilizados.
99
Definición de la estructura de Definición de la estructura de información y comunicacióninformación y comunicación
En este paso, la Gerencia de las unidades de negocio y apoyo deberá acordar con su personal y con la unidad de control de riesgos la estructura, para que la información se comunique de forma fluida a las partes interesadas, tanto internas como externas.
100
Ejemplo de una estructura de Ejemplo de una estructura de información y comunicación:información y comunicación:Ejem
plo
101
El proceso de comunicación con entes internos debe producirse de forma clara y directa, para que la información se direcciones específicamente a los entes revisores de la gestión de los riesgos operativos y que reflejen correctamente las acciones, expectativas, roles y responsabilidades del personal involucrado.
La comunicación con entes internos debe proveer al personal y a
la organización, principalmente, lo siguiente:
La importancia y relevancia de la gestión de los riesgos operativos.La alineación de la gestión de los riesgos con los objetivos de la
organización.El apetito y la tolerancia al riesgo operacional.Un lenguaje común de riesgo operacional.Las funciones y responsabilidades del personal de la organización en el
apoyo a la gestión de los riesgos operativos.
ENTES INTERNOS:ENTES INTERNOS:
102
Ejemplo
Ejemplo de un proceso de Ejemplo de un proceso de comunicación con entes comunicación con entes
internosinternos
103
Dentro de la estructura de información y comunicación, también se debe estructurar una comunicación apropiada a los entes externos, tales como: clientes, proveedores, auditores, reguladores y otros relacionados.
ENTES EXTERNOS:ENTES EXTERNOS:
104
Definición del alcance y frecuencia de Definición del alcance y frecuencia de la informaciónla información
En este paso, se establecerá el alcance y frecuencia de la información a reportar, lo cual debe ser consistente con las necesidades de información de la organización sobre la situación o avance de la gestión de los riesgos operativos. La información debe fluir de manera oportuna, para reaccionar proactivamente sobre cualquier cambio que se requiera en la estrategia de gestión de los riesgos operativos.
105
Ejemplo
Alcance global de la Alcance global de la información a comunicarinformación a comunicar
Zona 1Sistemas / Aplicaciones operativas:• Transacciones• De captura mantenimiento y distribución
de información
Regl
as, e
stán
dare
s y
prot
ocol
os
Zona 3Sistemas de gestión de incidentes:• Sistemas de alerta de fraude• Información de pérdidas por fraude
Zona 2Sistemas de reporte financiero:• Mayor general• Cuenteas automatizadas• Ajuste manual de cuentas
Zona 4Sistemas de información gerencial:• Almacenamiento de datos
(data warehouse)• Modelos de cuantificación
Reporte de la situación o avance de la gestión de los riesgos operacionales, por ejemplo:Indicadores clave de riesgos, reporte de incidentes / eventos de pérdida operacional.
Reportedel estadofinanciero
Zona 1Sistemas / Aplicaciones operativas:• Transacciones• De captura mantenimiento y distribución
de información
Regl
as, e
stán
dare
s y
prot
ocol
os
Zona 3Sistemas de gestión de incidentes:• Sistemas de alerta de fraude• Información de pérdidas por fraude
Zona 2Sistemas de reporte financiero:• Mayor general• Cuenteas automatizadas• Ajuste manual de cuentas
Zona 4Sistemas de información gerencial:• Almacenamiento de datos
(data warehouse)• Modelos de cuantificación
Reporte de la situación o avance de la gestión de los riesgos operacionales, por ejemplo:Indicadores clave de riesgos, reporte de incidentes / eventos de pérdida operacional.
Reportedel estadofinanciero
106
En este paso se determinarán los canales de comunicación que las unidades de negocio y apoyo deberán utilizar para realizar un reporte efectivo de la situación o avance de la gestión de los riesgos operativos.
Determinación de los canales de Determinación de los canales de información y comunicación información y comunicación
Establecer un efectivo proceso de seguimiento de los riesgos operativos, lo cual permitirá velar por la implantación de las estrategias de gestión de los riesgos, recopilar la información sobre sus avances o reestructuraciones a que dieran lugar o su culminación; así como también asegurar que se detecten, comuniquen y gestionen los eventos de pérdidas / incidentes de riesgos operativos. La gestión de riesgo operacional se monitorea revisando la presencia y funcionamiento de sus fases a lo largo del tiempo, lo cual se puede llevar a cabo mediante monitoreo continuo, auto-evaluaciones separadas, análisis de eventos de pérdidas operativos y medición de la cultura de riesgo y control.
108
Objetivo:
Fase 5:Fase 5:Monitoreo de los Monitoreo de los riesgos operativosriesgos operativos
109
Reestructuración del plan de Reestructuración del plan de implantación producto del monitoreo implantación producto del monitoreo de las estrategias de gestión de los de las estrategias de gestión de los
riesgos operativosriesgos operativosRiesgos Operativos Identificados Nuevos Riesgos Operativos
- Identifica si el existente plan de estrategias de gestión se ha implantado en las cadenas de valor.
- Establece los objetivos del plan de estrategias de gestión; por ejemplo, cuales riesgos están siendo mitigados.
- Evalúa si las estrategias de gestión existentes satisface los objetivos fijados.
- Determina si el plan de estrategias de gestión es suficiente y relevante, es decir, si no se requiere agregar o eliminar alguna(s) de las estrategia(s) de gestión.
- Evalúa si la gestión de los riesgos está diseñada para considerar nuevos riesgos, en función del apetito y niveles de tolerancia.
- Determina si el plan de estrategias de gestión existente puede ser modificado para mitigar/controlar los nuevos riesgos identificados.
- Identifica y evalúa un rango de opciones de respuesta /estrategias de gestión de los riesgos.
- Diseña un plan de implantación de las estrategias de gestión seleccionadas, incluyendo los indicadores clave de riesgo (KRI´s).
- Ejecuta el plan de implantación.
110
Insumos
-Monitoreo de la gestión de los riesgos operativos-Monitoreo de la gestión de los riesgos operativos
A continuación se presenta un resumen de lo concerniente a esta fase:
RESUMEN: RESUMEN:
Sub-Fases
Productos Entregables
-Proceso de información y comunicación del estado de gestión los riesgos operativos
-Formatos de monitoreo de riesgos operativos
111
Sub-fases del monitoreo de los Sub-fases del monitoreo de los riesgos operativosriesgos operativos
Monitoreo de la gestión de los riesgos operativos
Métodos de monitoreo
112
En esta sub-fase, las unidades de negocio y apoyo deben velar por la implantación de las estrategias de gestión de los riesgos operativos y deben informar a la unidad de control de riesgos sobre la culminación o reestructuración de cronogramas de todas las estrategias de gestión de los riesgos operativos, establecidas en la Fase 3, y del proceso de información y comunicación, establecido en la Fase 4; adicionalmente, también deben realizar el monitoreo de los indicadores de riesgo operacional.
Monitoreo de la gestión de los Monitoreo de la gestión de los riesgos operativosriesgos operativos
Métodos de monitoreoMétodos de monitoreo
113
En esta sub-fase se presentan cuatro (4) métodos
que pueden ser utilizados para monitorear las estrategias de gestión de los riesgos operativos:
Monitoreo continuo, auto-evaluaciones separadas, análisis de eventos de pérdida operacional y
medición de la cultura de riesgo y control. También puede utilizarse combinaciones de las cuatro, para
asegurar la efectividad del monitoreo.
114
Consiste en monitorear el estado de la gestión de los riesgos operativos en un momento determinado (por ejemplo: trimestral, semestral o anualmente) o cuando ocurran eventos como:
L Reestructuración.
Incremento en el volumen de transacciones.
Nuevas tecnologías.
Cambios organizacionales.
Nuevos productos.
Eventos externos que impacten a la organización
Auto-evaluaciones separadas Auto-evaluaciones separadas
115
Alcance
¿Quién se auto-evalúa?
Proceso de auto-evaluaciones separadas
Metodología
Documentación
Los elementos que deben ser Los elementos que deben ser considerados al aplicar auto-considerados al aplicar auto-
evaluaciones separadas, son los evaluaciones separadas, son los siguientes:siguientes:
116
El análisis de eventos de pérdida operacional es un proceso importante en demostración de la necesidad de gestionar los riesgos operativos y permite demostrar como la unidad de control de riesgos puede mejorar los procesos utilizados para reducir las pérdidas y agregar valor al negocio.
Análisis de eventos de pérdida Análisis de eventos de pérdida operacionaloperacional
117
Un ejemplo de cómo se pueden Un ejemplo de cómo se pueden presentar los eventos de pérdida presentar los eventos de pérdida
operacionaloperacional : : Ejemplo
118
Medición de la cultura de Medición de la cultura de riesgo y controlriesgo y control
La cultura de riesgo y control es definida como el conjunto de valores, conocimientos y prácticas compartidas que indican cómo la organización considera los riesgos en las actividades del “día a día”. Constituye un factor clave de éxito para la gestión de los riesgos operativos.
119
Proporciona una visión global de cómo la estrategia de control interno y gestión de riesgo está integrado y se ha alineado en todos los niveles de cargo y áreas de la organización.
Provee información para desarrollar acciones que contribuyan con el fortalecimiento de la cultura de riesgo y control.
Provee información sobre los atributos clave de una efectiva y sólida gestión integral de riesgos.
Permite establecer un indicador que puede ser medido regularmente para monitorear e identificar posibles desviaciones y evoluciones en el ámbito de la cultura y práctica de gestión de riesgo y control interno
Entre los principales beneficios Entre los principales beneficios de la medición, se encuentran de la medición, se encuentran
los siguientes:los siguientes:
120
El marco metodológico contenido en este documento de trabajo debe ser actualizado cuando se presenten cambios externos o internos que impacten al Marco de Gestión de Riesgo Operacional de la empresa. A tal efecto, se deben considerar los siguientes aspectos:
Se debe actualizar el marco metodológico y de procedimientos para la gestión de riesgo operacional, de forma anual o cuando se presenten cambios externos o internos de gran impacto sobre el Empresa
Las enmiendas del marco metodológico y los procedimientos para la gestión de riesgo operacional deben ser discutidos y aprobados por el Comité de Riesgos.
Las revisiones frecuentes, bajo la asistencia de profesionales calificados, ayudarán a asegurar que el marco metodológico y de procedimientos para la gestión de riesgo operacional estén actualizadas y reflejen cambios de cualquier circunstancia.
Normas de actualización de la Normas de actualización de la guía metodológicaguía metodológica
121
2
3
1 22
14
106
13
7
11
4
8
12
9
15
Apéndice Glosario de Terminos Apéndice Glosario de Terminos MGROMGRO
16
17
1916
17
2022
21
24
23
26
18
5
Cadena de valor
Cultura de riesgo
Evento
Auto-evaluación
Frecuencia de ocurrencia
ApéndiceActivos
Apetito de riesgo
Catástrofe
Control interno
Impacto
MGRO
Monitoreo
Objetivo
Oportunidad
Organización
Riesgo
Riesgo inherente
Riesgo residual
Riesgo legal
Riesgo operaciona
l
Riesgo reputacional
Segregación de funciones
Tolerancia al riesgo
Volatilidad
TALLETALLERR